Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiungi il supporto IPv6 al tuo VPC
Se disponi di un VPC esistente che supporta solo IPv4 e risorse nella sottorete configurate per utilizzare solo IPv4, puoi aggiungere il supporto IPv6 per il tuo VPC e le tue risorse. Il VPC può operare in modalità dual-stack: le risorse possono comunicare via IPv4, IPv6 o entrambi. Le comunicazioni IPv4 e IPv6 sono indipendenti tra loro.
Non puoi disabilitare il supporto IPv4 per il VPC e le sottoreti in quanto si tratta del sistema di indirizzamento IP predefinito per Amazon VPC e Amazon EC2.
Considerazioni
-
Non esiste un percorso di migrazione da sottoreti solo IPv4 a sottoreti solo IPv6.
-
Questo esempio presume che esista un VPC con sottoreti pubbliche e private. Per informazioni sulla creazione di un nuovo VPC da utilizzare con IPv6, consulta la pagina Crea un VPC.
-
Prima di iniziare a utilizzare IPv6, assicurati di aver letto le funzionalità di indirizzamento IPv6 per Amazon VPC:. Confronto tra IPv4 e IPv6
Processo
La tabella seguente fornisce una panoramica del processo per abilitare IPv6 sul VPC.
| Fase | Note |
|---|---|
| Fase 1: associazione di un blocco CIDR IPv6 al VPC e alle sottoreti | Associa un blocco CIDR BYOIP IPv6 o fornito da Amazon al VPC e alle sottoreti. |
| Fase 2: aggiornamento delle tabelle di routing | Aggiorna le tabelle di routing per instradare il traffico IPv6. Per una sottorete pubblica, crea una route che instrada tutto il traffico IPv6 dalla sottorete all'Internet Gateway. Per una sottorete privata, crea una route che instrada tutto il traffico IPv6 destinato a Internet dalla sottorete a un Internet Gateway egress-only. |
| Fase 3: aggiornamento delle regole di gruppo di sicurezza | Aggiorna le regole di gruppo di sicurezza per includere regole relative agli indirizzi IPv6. In questo modo, si abilita il flusso di traffico IPv6 verso e dalle istanze. Se hai creato regole di lista di controllo accessi di rete personalizzate per controllare il flusso di traffico verso e dalla sottorete, devi includere regole per il traffico IPv6. |
| Fase 4: assegnazione di indirizzi IPv6 alle istanze | Assegna degli indirizzi IPv6 alle istanze dall'intervallo di indirizzi IPv6 della sottorete. |
Esempio: abilitazione di IPv6 in un VPC con una sottorete pubblica e una privata
In questo esempio, il VPC ha un una sottorete pubblica e privata. Nella sottorete privata è presente un'istanza di database che ha comunicazioni in uscita con Internet via un gateway NAT nel VPC. Disponi inoltre di un server Web pubblico nella sottorete pubblica che ha accesso a Internet tramite l'Internet Gateway. Il diagramma seguente rappresenta l'architettura del tuo VPC.
Il gruppo di sicurezza per il server Web (ad esempio, con l'ID del gruppo di sicurezza sg-11aa22bb11aa22bb1) ha le seguenti regole in entrata:
| Type | Protocollo | Intervallo porte | Origine | Commento |
|---|---|---|---|---|
| Tutto il traffico | Tutti | Tutti | sg-33cc44dd33cc44dd3 | Consente l'accesso in entrata per tutto il traffico dalle istanze associate a sg-33cc44dd33cc44dd3 (l'istanza di database). |
| HTTP | TCP | 80 | 0.0.0.0/0 | Consente il traffico in entrata da Internet via HTTP. |
| HTTPS | TCP | 443 | 0.0.0.0/0 | Consente il traffico in entrata da Internet via HTTPS. |
| SSH | TCP | 22 | 203.0.113.123/32 | Consente l'accesso SSH in entrata dal computer locale; ad esempio, quando devi connetterti all'istanza per eseguire attività amministrative. |
Il gruppo di sicurezza per l'istanza di database (ad esempio, con l'ID del gruppo di sicurezza sg-33cc44dd33cc44dd3) ha la seguente regola in entrata:
| Type | Protocollo | Intervallo porte | Origine | Commento |
|---|---|---|---|---|
| MySQL | TCP | 3306 | sg-11aa22bb11aa22bb1 | Consente l'accesso in entrata per il traffico MySQL dalle istanze associate a sg-11aa22bb11aa22bb1 (l'istanza di server Web). |
Entrambi i gruppi di sicurezza hanno la regola in uscita predefinita che consente tutto il traffico IPv4 in uscita e nessun'altra regola in uscita.
Il server Web è il tipo di istanza t2.medium. Il server di database è un m3.large.
Vuoi che il VPC e le risorse siano abilitati per IPv6 e funzionino in modalità dual-stack; in altre parole, intendi utilizzare gli indirizzamenti IPv6 e IPv4 tra le risorse nel VPC e le risorse su Internet.
Fase 1: associazione di un blocco CIDR IPv6 al VPC e alle sottoreti
Puoi associare un blocco CIDR IPv6 al tuo VPC e quindi un blocco CIDR /64 di quell'intervallo a ogni sottorete.
Per associare un blocco CIDR IPv6 a un VPC
Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione scegliere Your VPCs (I tuoi VPC).
-
Seleziona il tuo VPC.
-
Seleziona Azioni, Modifica CIDR, quindi Aggiungi nuovo CIDR IPv6.
-
Seleziona una delle seguenti opzioni, quindi Seleziona CIDR:
-
Blocco CIDR IPv6 fornito da Amazon: richiede un blocco CIDR IPv6 dal pool di indirizzi IPv6 di Amazon. Per Network Border Group, scegli il gruppo da cui pubblicizza gli indirizzi IP. AWS
-
Blocco CIDR IPv6 allocato da IPAM: usa un blocco CIDR IPv6 da un pool IPAM. Seleziona il pool IPAM e il blocco CIDR IPv6.
-
CIDR IPv6 di mia proprietà: usa un blocco CIDR IPv6 dal pool di indirizzi IPv6 (BYOIP). Seleziona il pool di indirizzi IPv6 e il blocco CIDR IPv6.
-
-
Scegli Chiudi.
Per associare un blocco CIDR IPv6 a una sottorete
Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione, scegliere Subnets (Sottoreti).
-
Seleziona una sottorete.
-
Seleziona Azioni, Modifica CIDR IPv6 quindi Aggiungi CIDR IPv6.
-
Modifica il blocco CIDR in base alle esigenze (ad esempio, sostituisci il
00). -
Selezionare Salva.
-
Ripeti questa procedura per tutte le altre sottoreti nel VPC.
Per ulteriori informazioni, consulta Blocchi CIDR del VPC IPv6.
Fase 2: aggiornamento delle tabelle di routing
Quando un blocco CIDR IPv6 viene associato al VPC, automaticamente viene aggiunta una route locale a ciascuna tabella di routing per consentire il traffico IPv6 all'interno del VPC.
È necessario aggiornare le tabelle di routing per le sottoreti pubbliche, per consentire alle istanze (come i server Web) di utilizzare l'Internet Gateway per il traffico IPv6. È necessario aggiornare le tabelle di routing per le sottoreti private, consentire alle istanze (come le istanze di database) di utilizzare un Internet Gateway egress-only per il traffico IPv6, poiché i gateway NAT non supportano IPv6.
Aggiornare la tabella di routing per una sottorete pubblica
Accedi alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. Nel riquadro di navigazione, scegliere Subnets (Sottoreti). Seleziona la sottorete pubblica. Nella scheda Tabella di routing, seleziona l'ID della tabella di routing per aprire la pagina dei dettagli.
-
Seleziona la tabella di instradamento del . Nella scheda Route, scegli Modifica route.
-
Scegli Aggiungi route. Seleziona
::/0per Destinazione. Scegli l'ID del gateway Internet per Target. -
Seleziona Salvataggio delle modifiche.
Aggiornare la tabella di routing per una sottorete privata
Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione, seleziona Gateway Internet solo in uscita. Seleziona Crea gateway Internet solo in uscita. Seleziona il VPC da VPC, quindi Crea gateway Internet solo in uscita.
Per ulteriori informazioni, consulta Abilitazione del traffico in uscita IPv6 utilizzando un gateway Internet egress-only.
-
Nel pannello di navigazione, scegli Subnets (Sottoreti). Seleziona la sottorete privata. Nella scheda Tabella di routing, seleziona l'ID della tabella di routing per aprire la pagina dei dettagli.
-
Seleziona la tabella di instradamento del . Nella scheda Route, scegli Modifica route.
-
Scegli Aggiungi route. Seleziona
::/0per Destinazione. Scegli l'ID del gateway Internet solo in uscita per Target. -
Seleziona Salvataggio delle modifiche.
Per ulteriori informazioni, consulta Opzioni di routing di esempio.
Fase 3: aggiornamento delle regole di gruppo di sicurezza
Per consentire alle istanze di inviare E ricevere traffico via IPv6, devi aggiornare le regole di gruppo di sicurezza affinché includano le regole per gli indirizzi IPv6. Ad esempio, nell'esempio precedente, puoi aggiornare il gruppo di sicurezza del server Web (sg-11aa22bb11aa22bb1) per aggiungere regole che consentono l'accesso HTTP, HTTPS e SSH in entrata dagli indirizzi IPv6. Non è necessario apportare alcuna modifica alle regole in entrata per il gruppo di sicurezza di database. La regola che consente tutte le comunicazioni da sg-11aa22bb11aa22bb1 include le comunicazioni IPv6.
Aggiornare le regole di gruppo di sicurezza in entrata
Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. Nel riquadro di navigazione, seleziona (Gruppi di sicurezza e seleziona il gruppo di sicurezza del server Web.
-
Nella scheda Regole in entrata, seleziona Modifica regole in entrata.
-
Per ogni regola che consente il traffico IPv4, seleziona Aggiungi regola e configurala per consentire il traffico IPv6 corrispondente. Ad esempio, per aggiungere una regola che consente tutto il traffico HTTP su IPv6, seleziona HTTP per Tipo e
::/0per Origine. -
Una volta completata l'aggiunta delle regole, seleziona Salva.
Per aggiornare le regole in uscita del gruppo di sicurezza
Quando un blocco CIDR IPv6 viene associato al VPC, una regola in uscite viene automaticamente aggiunta ai gruppi di sicurezza del VPC perché consenta tutto il traffico IPv6. Tuttavia, se hai modificato le regole in uscita originali per il gruppo di sicurezza, questa regola non viene automaticamente aggiunta e devi aggiungere regole in uscita equivalenti per il traffico IPv6.
Aggiornamento delle regole di lista di controllo accessi di rete
Quando un blocco CIDR IPv6 viene associato al VPC, automaticamente vengono aggiunte regole alla lista di controllo accessi (ACL) della rete predefinita per consentire il traffico IPv6. Tuttavia, se hai modificato la lista di controllo accessi della rete predefinita o ne hai creata una personalizzata, devi aggiungere manualmente delle regole per il traffico IPv6. Per ulteriori informazioni, consulta Utilizzo di ACL di rete.
Fase 4: assegnazione di indirizzi IPv6 alle istanze
Tutti i tipi di istanza della generazione corrente supportano IPv6. Se il tuo tipo di istanza non supporta IPv6, devi ridimensionare l'istanza a un tipo di istanza supportato prima di poter assegnare un indirizzo IPv6. Il processo che utilizzerai dipende dalla compatibilità del nuovo tipo di istanza scelto con il tipo di istanza corrente. Per ulteriori informazioni, consulta Modifica del tipo di istanza nella Guida per l'utente di Amazon EC2. Se devi avviare un'istanza da una nuova AMI per supportare IPv6, puoi assegnare un indirizzo IPv6 all'istanza durante l'avvio.
Dopo aver verificato che tipo di istanza supporta IPv6, puoi assegnare un indirizzo IPv6 all'istanza tramite la console Amazon EC2. L'indirizzo IPv6 viene assegnato all'interfaccia di rete primaria (eth0) dell'istanza. Per ulteriori informazioni, consulta Assegnare un indirizzo IPv6 a un'istanza nella Amazon EC2 User Guide.
È possibile connettersi a un'istanza utilizzando il relativo indirizzo IPv6. Per ulteriori informazioni, consulta Connettiti alla tua istanza Linux usando un client SSH nella Amazon EC2 User Guide o Connect a un'istanza Windows usando il suo indirizzo IPv6 nella Amazon EC2 User Guide.
Se hai avviato l'istanza utilizzando un'AMI per una versione corrente del tuo sistema operativo, l'istanza è configurata per IPv6. Se non riesci a eseguire il ping di un indirizzo IPv6 dalla tua istanza, consulta la documentazione del tuo sistema operativo per configurare IPv6.
